| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
変換ルールはAPSによって使用されます。
次の例に示した変換ルールは、Access Managerによって提供されるデフォルト・ルールです。これらのOOTBルールをオーバーライドするようにクローンを構成できます。この項では、これらのルールの一部を変更する方法と、これらのカスタム・ルールを認識するようにAccess Managerを構成する方法について説明します。
デフォルトの変換ルール
<?xml version="1.0" encoding="UTF-8"?>
<mdc-transform-rule>
<changes-to-include entity-path="/policy"/>
<changes-to-include
entity-path="/config/NGAMConfiguration/DeployedComponent/Agent/WebGate/Instance">
<replace attribute-match="/*/PrimaryServerList/*/host" value-match="(.*)">
<replace-with
n="1">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverhost}</replace-with>
</replace>
<replace attribute-match="/*/UserDefinedParameters/logoutRedirectUrl"
value-match="(.*)://(.*):(.*)/oam/server/logout">
<replace-with
n="1">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverprotocol}</replace-with>
<replace-with
n="2">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverhost}</replace-with>
<replace-with
n="3">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverport}</replace-with>
</replace>
<replace attribute-match="/*/logoutRedirectUrl"
value-match="(.*)://(.*):(.*)/oam/server/logout">
<replace-with
n="1">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverprotocol}</replace-with>
<replace-with
n="2">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverhost}</replace-with>
<replace-with
n="3">${/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverport}</replace-with>
</replace>
</changes-to-include>
<changes-to-include entity-path=
"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/AuthenticationModules"/>
<changes-to-include entity-path=
"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/oamproxy"/>
<changes-to-include entity-path=
"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/Sme/SessionConfigurations"/>
<changes-to-include entity-path=
"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER">
<ignore attribute-match="/serverprotocol"/>
<ignore attribute-match="/serverhost"/>
<ignore attribute-match="/serverport"/>
</changes-to-include>
<changes-to-include entity-path="/config/NGAMConfiguration/DataCenterConfiguration/Cluster">
<ignore attribute-match="/DataCenterType"/>
<ignore attribute-match="/ClusterId"/>
<ignore attribute-match="/WriteEnabledFlag"/>
</changes-to-include>
</mdc-transform-rule>
これらの変換ルールによって、Webゲート・エージェント定義が変更されます。次の情報では、PrimaryServerList属性とlogoutRedirectUrl属性に関してこれらの変更を修正する方法について説明します。
PrimaryServerListはすべてのWebゲート・エージェントのプライマリ・サーバー・リストを更新し、クローン環境のAccess Managerサーバー・ホストでそれを置換します。この変更は、oam-config.xmlファイル内で確認できます。このファイル内のPrimaryServerList属性の値は、${DeployedComponent/Server/NGAMServer/Profile/OAMServerProfile/OAMSERVER/serverhost}と等しい値に置き換わります(例: oam1-lon.example.com)。このルールには、プライマリ・リスト内のすべてのサーバーが更新されるという制限があります。
次の例の変換ルールを使用して、PrimaryServerList内のサーバーを別のクローン・サーバーで更新できます。
<changes-to-include entity-path=
"/config/NGAMConfiguration/DeployedComponent/Agent/WebGate/Instance">
<replace attribute-match="/*/PrimaryServerList/0/host" value-match="(.*)">
<replace-with n="1">${"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/
Instance/oam_server1/host"}
</replace-with>
</replace>
<replace attribute-match="/*/PrimaryServerList/1/host" value-match="(.*)">
<replace-with n="1">${"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/
Instance/oam_server2/host"}
</replace-with>
</replace>
</changes-to-include>
ノート:
oam_server1やoam_server2などのOAM管理対象サーバーを、デプロイメント中に指定した名前で更新する必要があります。WebゲートとAccess Managerサーバーの間にはロード・バランサを使用することをお薦めします。この場合、複数のデータ・センターにわたってPrimaryServerListを更新する必要はなく、この変換ルールをXMLから削除できます。ただし、IAMSuiteAgentおよびaccessgate-oicのPrimaryServerListパラメータは更新する必要があります(これらのエージェントもロード・バランサと通信するように構成した場合を除く)。
次の例では、変換ルールを変更して、(Webゲート・エージェントではなく) IAMSuiteAgentおよびaccessgate-oicエージェントについてのみPrimaryServerListを更新する方法を示します。
<changes-to-include entity-path="/config/NGAMConfiguration/DeployedComponent/
Agent/WebGate/Instance">
<replace attribute-match="/IAMSuiteAgent/PrimaryServerList/*/host" value-match="(.*)">
<replace-with n="1">${"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/
Profile/OAMServerProfile/OAMSERVER/serverhost"}
</replace-with>
</replace>
<replace attribute-match="/accessgate-oic/PrimaryServerList/*/host" value-match="(.*)">
<replace-with n="1">${"/config/NGAMConfiguration/DeployedComponent/Server/NGAMServer/
Profile/OAMServerProfile/OAMSERVER/serverhost"}
</replace-with>
</replace>
</changes-to-include>
logoutRedirectUrl attributeは、すべてのWebゲート・エージェントのログアウトURLプロトコル、ホストおよびポートを、クローンからのそれぞれの値で更新します。マスター環境ですべてのWebゲート・エージェントのログアウトURLを定義するためにロード・バランサをグローバルに使用している場合、クローン環境のログアウトURLを置き換える必要はなく、変換ルールを削除できます。DCCログインとログアウトURLを定義するためにDCC認証スキームおよびグローバル・ロード・バランサを使用している場合も、クローン環境のログインおよびログアウトURLを置き換える必要はなく、変換ルールを削除できます。
カスタム変換ルールを使用するようにAccess Managerを構成するには、クローン・マシンでsetDomainEnv.xmlファイルを更新します。各クローンは異なる変換ルールを使用できます。変換ルールを変更した後は、必ずクローンのAdminServerを再起動してください。図19-3は、これらのカスタム・ルールの適用方法を示しています。
